Q&A
実際につかっている環境でブランドテストしたりするのを想定していますので、すみませんが、仮想環境で閉じている場合ではないのです。
テスト用ウィルスメールを送信したいのですが、PCや、メールサーバでのチェックにひっかかかってうまくいきません。
テスト用ウィルスメールは、これです。
http://downloadcenter.trendmicro.com/index.php?regs=jp&prodid=1424
世の中では、どうやってテストしているのでしょうか?
実際にテストをされた経験がある方からの回答か、実際の事例を引用した回答を期待しています。
回答4件
0
どのウィルス対策についてテストしたいかをはっきりさせてください。メールへのウィルス対策は二重三重で守られているため、その部分によってどうするかが変わってきます。
【警告】EICARの使用は自己責任です。使用によるシステムへの影響については一切保証できません。
【警告】手順ではウィルス対策ソフトを無効にするなど、無防備な状態が発生します。この手順を実施した場合のシステムへの影響等についても一切保証できません。
【警告】しつこいようですが、全て自己責任です。不安があれば信頼できるセキュリティ専門の会社に依頼することをお勧めします。
内部のパソコンでウィルス付きメールを送れないことを確認したい。
パソコンのウィルス対策ソフトが添付する前に駆除してしまうので、それを確認すればいいかと思います。
- パソコンのウィルス対策ソフトを無効にします。
- メモ帳で「新規作成」します。
- EICAR ANTI-MALWARE TESTFILEに書いてある「X5O!P%@A...」から始まる68文字の文字列をそのままコピーします。最後に改行等は入れないでください。
- "eicor.com"というファイル名で保存します。68bytesであることを確認してください。また、ウィルス対策ソフトが有効ですと、保存に失敗し、ファイルは削除されます。1.を確認してください。
- 保存が終わった後にウィルス対策ソフトを有効にします。これでパソコンの中にテストウィルス(EICAR)が存在します。
- メールソフトで先ほど作成したテストウィルスを添付します。
=> ウィルス対策ソフトが正常に動作していれば、この時点で検知され、ファイルは削除または隔離されます。パソコンのウィルス対策ソフトのログ等で削除または隔離されていることを確認してください。
内部からウィルス付きメールを送られたときに、メールサーバで検知・除去されるかを確認したい。
パソコンのウィルス対策ソフトをすり抜けてしまったときの場合です。
- 前の手順の4.まで実施してテストウィルスがパソコンにある状態にします。
- ウィルス対策ソフトが無効のまま、メールソフトでテストウィルスを添付します。
- そのままメールを送ります。送信が成功することを確認してください。ウィルス対策ソフトの中にはメール送信時のファイルをチェックする物があります。この機能が有効ですと検知されて送信失敗になります。全ての機能が無効であることを確認してください。
- メールサーバ側のウィルス対策ソフトでウィルスが検知され駆除または隔離されていることを確認してください。受け取り側で、実際のメールも添付ファイルが削除されていることを確認してください。
そのまま添付する以外に、zip等で圧縮するなどして、圧縮された添付も検知できるかどうかを確認してください。
メールサーバにあるウィルス付きメールを受信できないことを確認したい。
メールサーバのウィルス対策ソフトをすり抜け、メールスプールに既に入っている状態でも、パソコンでは弾いてくれるかの確認です。
- "test.com"という中身が"0"が68文字あるファイルを用意して、添付してメールを送ります。
- メールサーバに管理者権限でログインします。
- 1.で送信した宛先ユーザのメールスプールにアクセスし、該当のメールをvim等で開きます。(mboxやMaildir等であれば可能ですが、Microsfot Exchange Serverのようなメールをサーバ内部でデータベース化するようなソフトでは不可能です。また、Gmail等のクラウドサービスでも権限がないためできません。)
- "0000..."となっている部分をEICARである"X5O!P%@A..."に書き換えます。
- パソコンから該当のファイルをPOPやIMAP等で取得します。取得時にウィルス対策ソフトが検知して駆除されることを確認してください。(メール自体がどうなるかはソフトによって異なります)
外部からウィルス付きメールを送られたときに、メールサーバで検知・除去されるかを確認したい。
外からの防御です。一番大切なところですが、一番お金がかかり、一番大変です。
- OP25B対策がされていない外部回線を契約します。日本のプロバイダーでは通常回線の契約でOP25B対策がされていないものはほぼありません(少なくとも私は知りません)。多少値が張りますが、固定IPアドレスの契約であればOP25Bが解除されている場合があります。なお、セキュリティオプションのようなものは結ばないようにしてください。
- 独自ドメインを取得します。既にお持ちのドメインのサブドメインでもかまいませんが、内部で使用していない、つまり、外部からだと判断できるドメインを利用してください。
- 1.で契約した回線を使う本当に使えるメールサーバを作成します。DNS等に関しても2.で取得した独自ドメイン用にきちんと設定します。ウィルス対策ソフトをそのメールサーバに入れてもいいですが、送信するときに解除できるようにしておきます。
- これまでの手順でやったようにテストウィルス付きメールを作成し、3.で作成したメールサーバ経由で送信します。パソコンおよび作成したメールサーバでウィルス検知が動かないようにしてください。
- 受け取り側のメールサーバでウィルスを検知・駆除していることを確認します。
telnetコマンド等でメールサーバの動作を完全にエミュレートできるのであれば、メールサーバの作成等は不要です(ただし、25番ポートへの受け付けもメールサーバとしてエミュレートする必要があるかもしれません)。ただ、その場合でもOP25B対策がされてない回線の契約は必須です。また、ドメインについても、DNSが設定されていないとその前に弾いてしまう事があるため、ウィルスメールのテストをしたければ、本物のメールを送受信できるに、DNSを本当のメールサーバと同じように設定する必要があります。
なお、プロバイダーのメールサーバを通すというのもありますが、しっかりとしたプロバイダーであるほどウィルス検知を導入しているため、プロバイダーのメールサーバを通ることはできない可能性が高いです。Gmail等も同様で、ウィルス付きメールを送ることはできません。
OP25B対策がまだ無かった時代に私は上記の方法で実際やったことがありますが、現在は環境の用意が難しいため、そこまでのテストは実施していません。内部からのテストと、運用後に外部からのメールに対して検知があることをもってウィルス対策ソフトが動作していると判断しています。
投稿2015/11/07 01:25
総合スコア21741
0
閉じた環境(仮想環境だと楽ですね)にメールサーバとクライアントを用意してその中でテストするのがベストかと思います。
投稿2015/11/06 01:07
総合スコア18778
実際に使っている環境と全く同じ環境でテストしたいのであれば、
「PCや、メールサーバでのチェックにひっかかかってうまくいきません。 」がテスト結果にしかならないと思いますが。。。
何をテストするか具体的にならないとこれ以上の回答は不可能です。
PCからの送信テストに関しては直接telnetでSMTP通信するなり、送信時のチェックが無いクライアントを使えば送信可能です。
メールサーバが外部(例えばGmail)だとしたら、Gmailのウィルスチェックを無効にすることは不可能です。
ウィルス系のテストを本番環境で行うというのは運用面から考えても通常は行わないので
・何を(サーバのウィルスの検知力なのか、検知した際の挙動なのか、受信側のクライアント上での検知力なのか)
・どの部分で
・どのように
テストしたいのかを定義して、
テスト環境を構築してで本番環境と同様の環境及び本番環境ではテストが出来ない項目についてもテストするのが一般的ですよ。
メールサーバまでは、無チェックでウィルスメールを送信したい というのでいいでしょうか? 藤沢市役所でやったのと同じような状況です。
>zanjibarさん
藤沢市役所の例というのは標的型メール訓練の事例のことでしょうか?あれは通常のウィルス対策ソフトでは引っかからないよう訓練用のメール(そもそも無害なので厳密にはウィルスメールではない)を作成するので、サーバやクライアントのセキュリティソフトが無チェックでしているということではありませんよ。
0
自己解決
簡単につかえるのがありました。
postfix 等で、smpt server をたててから、つかいます。
http://modoboa.org/resources/send_spam.py
投稿2016/07/07 00:39
総合スコア206
0
下記のページの補足情報を参考にして、当該ファイルを作ることが出来ます。
http://www.mcafee.com/japan/security/virE1999.asp?v=EICAR%20test%20file
投稿2015/11/06 06:28
総合スコア728
言葉足らずですみません。作り方はわかっています。送信方法です。
ローカルサーバから送るのはできますが、簡単にできるのがあったら教えてほしいです。
http://www.aleph-tec.com/eicar/
のようなものです。この種のもので一番よくつかわれるがあったらお願いします。
わかりました。
作ったファイルにzipなどで一定レベル以上の暗号化で難読化を施せば、自明にウイルス対策ソフトのパターンマッチングは大変困難になるので、メール添付でも送れるのではと思います。
もし検出されたのなら、その暗号が解読された(暗号方式の脆弱性発見か?)ことになります。もしくは暗号をも解いてしまう、大変強力な検出力をもつソリューションなのでしょう(ぜひ教えて欲しいです...)。
上記のページは、ウイルス対策導入済みの環境下で非暗号化zipなどの中身のウイルスも検出できるかどうかを試すもので、配布用ではないです(お分かりだとは思いますが)。
すみません。難しい話ではないです。単にテスト用ウィルスメールを送って、ウィルス検知のシステムの動作確認したいだけです。
藤沢の市役所でテストしたようなことをしたいのです。やりたいことは、受信側のメールサーバまでは、届けたいだけです。
なかなかそこまで読み取れませんでした。
セキュリティ関係のソフトを入れずにOSをインストールし、そこでEICARを作って、携帯電話のテザリング機能を経由するなどして(=社内ネットワークを使わないで)、メール送信したらいかがでしょう?
私ならVPSなどでレンタルサーバを借りて、そこからメール送信をしますね。
そこまでご自分でなさるのはちょっとおっくうであるならば、やはりサービスを探すしかないでしょうね...(ただしセキュリティの観点からして、なかなか無いと思いますよ。そこのサーバは(汎用的なウイルス対策を行っていないという)脆弱性を持っていることが自明でしょうから)。
藤沢市役所のテストメールですが、別にホンモノのウイルス付きメールでテストしなくても済むでしょう。要は「ニセモノの」メールを開けてしまえば、HITしてしまったとみなせばよいわけで。。
むしろ、EICARであったにせよ、ホンモノのウイルス付き(または偽陽性となる)メールでテストをするなんてありえないと思います。標的型攻撃はゼロデイ攻撃に該当する場合が多いわけですし、ウイルス対策ソフトが検出するか否かは、藤沢市の事例目的では意味がないかと。
実際にやった人の回答を期待していたのですが、いらっしゃらないみたいですね。ローカルから送るのは、ほんの少しの手間なので、良いサービスがなければ、postfix を久しぶりにさわってみます。
少し調べてみました。簡単な方法を考えている人はいるようです。https://rtcamp.com/tutorials/mail/server/testing/antivirus/ これなら手間ではないみたいです。
zip暗号化をかけて送ったことなら私はやったことありますよ、念のため。
質問主さんは、何を対象に訓練をしたいのか、ご自身でおわかりになっていないのだと思います。
EICARを送られてはじくのはウイルス対策ソフトウエアなのであって、従業員に対しての標的型攻撃に対するテストには何もならないのではないでしょうか?
むしろ検出されてしまったら、ウイルス対策ソフトウエアが標的型攻撃に引っかからないための従業員の訓練の邪魔をしてしまいませんか?
コンピュータシステムに対してではなく、従業員に対しての訓練ならば、ホンモノのウイルスである必要はないのですよ。主さんが挙げていたキットもウイルスとして対策ソフトに検出されるうんぬんは書かれていません。
https://kit.happyexcelproject.com/5186/
結論からしますと、挙げられてたサイトからEICARを送ることで、メール経由でのウイルス対策システムの動作確認はできますが、藤沢市役所の例の訓練とは関係がないです。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/11/07 01:42
2015/11/07 02:17
2015/11/07 03:50 編集
2015/11/07 03:49
2015/11/07 03:52
2015/11/07 05:08